IS01にはキーフック用のクラスが存在します。
本来使用するにはパーミッション&適切な署名が必要なのですが
チェックの仕方が甘く、パーミッション無しでも使用可能になっています。
サンプル
マーケットに上げて怒られると嫌なので野良で置いておきます。
入力されたキーコードを表示するだけのプログラムです。
他のアプリケーションを操作していてもキーを拾えています。
インストール時やアプリケーションの詳細から見てもらえば分かると思いますが、
パーミッションは何も必要としていません。
ユーザが気づかないうちにキーロガーを仕込まれる可能性があり、危険です。
KDDIさんやシャープさんが気づいているのか分かりませんが、
アップデートで修正されることを期待しています。
.
KDDIかシャープかIPAに脆弱性報告したほうが良いのでは?
返信削除必要だと思われた方が報告されれば良いかと思います。
返信削除上記の動作は仕様が非公開のため、私には意図したものなのか判断できません。キーフックについても、OSによってはAPIが用意されているものもあり、それ自体が脆弱性というわけではありません。(携帯向けのOSでは必要無いと思いますが…)
と、あれこれ書いてますが、本当は面倒だっただけです…
連絡なしでサンプルコードを公開するのは、ゼロデー攻撃だと思う。先方に連絡して準備が整ってから公開するのがマナーだし、マーケットで削除されることを理解していて野良に置いているのは確信犯だよな~。
返信削除サンプルコードは公開してませんよ
返信削除サンプルアプリを解析して何をやっているのかわかるような人だったら、フレームワークでも解析した方が速いです。